® BUNDESREPUBLIK 
DEUTSCHLAND 




DEUTSCHES 
PATENT- UND 
MARKENAMT 



0 



© Offenlegungsschrift 
DE 10046437 A1 



® Int.CI. 7 : 

H04L9/32 

G 06 F 12/14 



® Aktenzeichen: 
@ Anmeldetag: 
@ Offenlegungstag: 



100 46437.8 
20. 9.2000 
4. 4.2002 



CO 

o 
o 



® Anmelder: 

Mannesmann AG, 40213 Dusseldorf, DE 

® Vertreter: 

Weisse und Kollegen, 42555 Velbert 



@ Erfinder: 

Swoboda, Bernhard, 40822 Mettmann, DE; 
Gerstenkorn, Wulf, 58642 Iserlohn, DE 



Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Priifungsantrag gem. § 44 PatG ist gestellt 

© Identifizierungsverfahren in einem Rechnernetzwerk 

© Die Erfindung betrifft ein Verfahren zum Identifizieren 
einer Rechnereinheit und eines Benutzers in einem Rech- 
nernetzwerk, wobei der individueile Seriencode einer 
Standard-Hardwarekomponente der Rechnereinheit mit 
einem Programm ausgelesen und zur Identifizierung der 
Rechnereinheit herangezogen und mit dem Benutzer- 
kennwort kombiniert wird. 
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Beschreibung 

Technisches Gebiet 

[0001] Die Erfindung betrifft ein Verfahren zum Identifi- 
zieren einer Rechnereinheit in einem Netzwerk. 

Stand derTechnik 

[0002] Es wird oft gefordert, daB sich ein Benutzer eines 
Rechners nur von einem ganz bestimmten Rechner in ein 
Netzwerk anmelden kann. Dabei kann es sich sowohl um 
ein lokales, ein Intra-Netzwerk, oder aber auch um das Inter- 
net handeln. In der Regel besteht ein solches Rechnernetz- 
werk aus einem oder mehreren zentralen Netzwerkrechnern, 
zu denen ein Benutzer mit Hilfe eines Anwenderrechners 
Zugang hat. 

[0003] Fur dieses Problem, daB sich ein Benutzer eines 
Rechners nur von einem ganz bestimmten Rechner in ein 
Netzwerk anmelden kann, existieren derzeit sogenannte 
"Kryptoboards", die als Hardwarekomponente in eine Rech- 
nereinheit eingebaut werden konnen. Auf den "Kryptobo- 
ards" ist ein digitaler Code abgespeichert, der eine eindeu- 
tige Identifizierung des Rechners bzw. des "Kryptoboards" 
erlaubt. 

[0004] Beim Anmelden des Benutzers in das Netzwerk 
wird aus diesem "Kryptoboard" mittels Programm ein indi- 
vidueller Identifizierungscode ausgelesen. Durch die Ein- 
maligkeit dieses Codes kann so der Rechner eindeutig in ei- 
nem Netzwerk identifiziert werden. In Kombination mit der 
Abfrage des Benutzers und dessen Benutzerkennwortes 
kann auf diese Weise ein Benutzer an einen bestimmten 
Rechner des Netzwerkes gebunden sein. Ein Anmelden von 
einem anderen Rechner des Netzwerkes wiirde ihm ver- 
wehrt, da sowohl der korrekte Code des Kryptoboards, als 
auch der korrekte Benutzer und das korrekte Benutzerkenn- 
wort in Kombination vom Netzwerk gefordert wird. 
[0005] Diese Kryptoboards haben den Nachteii, daB sie 
relativ teuer sind und zudem speziell in die Rechnereinheit 
eingebaut werden miissen. Gegebenenfalls verbrauchen sie 
dann noch wertvollen Kartenplatz, der unter Umstanden fur 
andere Rechnerkomponenten benotigt wird, 

Offenbarung der Erfindung 

[0006] Aufgabe der Erfindung ist es daher, ein kostengiin- 
stiges Verfahren fur die Identifizierung eines Benutzers in 
einem Rechnernetzwerk zu schaffen, bei dem sich der Be- 
nutzer immer nur von einer bestimmten Rechnereinheit in 
das Rechnernetzwerk anmelden kann. 
[0007] ErfindungsgemaB wird die Aufgabe dadurch ge- 
lost, daB bei einem Verfahren der eingangs genannten Art 
der individuelle Seriencode von mindestens einer Standard- 
Hardwarekomponente der Rechnereinheit mit einem Pro- 
gramm ausgelesen und zur Identifizierung der Rechnerein- 
heit herangezogen und mit dem Ben utzerkenn wort kombi- 
niert wird. 

[0008] Die Erfindung beruht auf dem Prinzip, daB die Her- 
steller von Standard-Hardwarekomponenten fur Rechner 
bereits einen individuellen Code in die Hardware integrie- 
ren. Diese Codes werden in der Hardwarekomponente in so- 
genannten ROMs (Abkiirzung fiir Read Only Memory - nur 
Lesespeicher) gespeichert. Grundsatzlich laBt sich jede 
Hardwarekomponente, bei der der individuelle Seriencode 
in einem ROM gespeichert ist, zur Rechneridentifizierung 
verwenden. Benutzerkennwort und Seriencode der Hardwa- 
rekomponente einer Rechnereinheit werden einem Zentral- 
Netzwerkrechner mitgeteilt und dort gespeichert. Beim An- 



melden ist dann immer die Kombination von Benutzerkenn- 
wort und Seriencode erforderlich, um in das Netzwerk zu 
gelangen. Durch geeignete Programm-Routinen konnen 
diese durch den Zentralrechner abgefragt werden. Der Vor- 

5 teil bei diesem Verfahren ergibt sich dadurch, daB hierdurch 
kostenintensive Zusatzkomponenten, wie das Kryptoboard 
gespart werden. AuBerdem mussen keine zusatzlichen 
Komponenten in den Anwenderrechner integriert werden. 
[0009] Eine Netzwerkkarte ist eine besonders geeignete 

to Hardware-Komponente, bei der der individuelle Seriencode 
in einem ROM der Standard- Hardwarekomponente abge- 
legt ist. 

[0010] Zur weiteren Sicherung kann es zweckmaBig sein, 
daB der individuelle Seriencode mehrerer Standard-Hard- 

15 warekomponenten ausgelesen wird, um zu verhindem, daB 
das entsprechende Element aus der einen Rechnereinheit 
aus- und in einen anderen Rechner eingebaut wird. 
[0011] Das Programm zum Auslesen des Seriencodes 
kann in einer vorteilhaften Ausgestaltung der Erfindung im 

20 Hintergrund laufen, um andere Applikationen nicht zu un- 
terbrechen, bzw. zu storen. 

[0012] Es erweist sich als vorteilhaft, wenn das Programm 
zur Seriencode- Abfrage bereits als Bestandteil des Betriebs- 
sy stems implementiert ist. Hierdurch werden zusatzliche 
25 Programme zur Abfrage nicht erforderlich. AuBerdem ist es 
zur Standardisierung der Ubergabe der entsprechenden Seri- 
encode-Daten hilfreich. 

[0013] Weitere Vorteile ergeben sich aus dem Gegenstand 
der Unteranspriiche. 

30 

Kurze Beschreibung der Zeichnung 

[0014] Fig. 1 zeigt in einer Prinzipskizze ein Netzwerk 
mit dem erfindungsgemaBen Verfahren zum Anmelden. 
35 [0015] Fig. 2 zeigt eine Prinzipskizze uber einen Anmel- 
devorgang in ein Netzwerk mit einem erfindungsgemaBen 
Verfahren. 



Bevorzugtes Ausfuhrungsbeispiel 
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[0016] In Fig. 1 wird beispielhaft der prinzipielle Aufbau 
eines Netzwerks gezeigt. Das Netzwerk besteht aus zentra- 
len Netzwerkrechnern 10, 12 und 14 (CI, C2 und C3), die 
wiederum uber Verbindungen 16, 18, 20 miteinander ver- 

45 bunden sind. Die Verbindungen konnen beispielsweise 
BNC-Kabel, aber auch Telefonleitungen sein. In diesem 
Ausfuhrungsbeispiel sind nur drei zentrale Netzwerkrechner 
dargestellt. Es konnen aber beliebig viele zentrale Netz- 
werkrechner untereinander gekoppelt sein, wie es z. B. beim 

50 lokalen Netzwerk bis hin zum Intra- und Internet vorkommt. 
Um in einen der zentralen Netzwerkrechner 10, 12, 14 zu 
gelangen, muB ein Benutzer 15 mit der Bezeichnung X uber 
einen der Anwenderrechner 22a bis 22f, 24a bis 24f bzw. 
26a bis 26f sich im Netzwerk anmelden. 

55 [0017] Der Benutzer 15 vertilgt iiber ein individuelles Be- 
nutzerkennwort XY, mit dem er sich im Netzwerk als der 
Benutzer X zu erkennen gibt. Um zu verhindern, daB der 
Benutzer X sich von jedem beliebigen Anwenderrechner 
22a bis 22f, 24a bis 24f bzw. 26a bis 26f bei einem der zen- 

60 tralen Netzwerkrechner 10, 12, 14 anmelden kann, ist sein 
Benutzerkennwort XY beispielsweise an den Seriencode 
(A3) der Netzwerkkarte des Anwenderrechners 22c gekop- 
pelt. 

[0018] Der von dem Hersteller vergebene Seriencode der 
65 Netzwerkkarte - auch MAC-Adresse (Media Access Con- 
trol - Adresse/Medium Zugriffskontrolladresse) genannt - 
ist weltweit eindeutig. Der Code hat in der Regel eine digi- 
tale Struktur, beispielsweise mit Hexadezimalcode, der aus 
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den Zeichen 0-9 und A-F besteht. Dieser Seriencode dient 
derzeit zur Identifikation der Netzwerkkarte in einem Netz- 
werk und wird insbesondere als Grundlagc fur die Vbrgabe 
einer IP- Adresse (Internet Protokoll Adresse) verwendet. 
[0019J Mit Fig. 2 soil in einem moglichen Beispiel der er- 5 
laubte Zugriff von einem der Anwenderrechner 22a-26f auf 
einen der zentralen Netzwerkrechner 10, 12, 14 verdeutlicht 
werden. 

[0020] Wcnn ein Benutzcr 15 sich erstmalig in dem Nctz- 
werk anmelden will, dann kennt das Netzwerk bzw. der zen- 10 
trale Netzwerkrechner 10 weder den Benutzer, noch den 
Rechner, von dem er sich anmeldet. Es muB dem zentralen 
Netzwerkrechner 10 somit zunachst mitgeteilt werden, wel- 
cher Benutzer 15 und von welchem Anwenderrechner 22c 
er sich anmeldet. Wenn der Benutzer beim zentralen Netz- 15 
werkrechner als Benutzer eingerichtet ist, wird der Benutzer 
beim Anmelden durch den Zentralrechner identifiziert. 
[0021] In vorliegendem Ausfuhrungsbeispiel hat sich der 
Benutzer X von dem Anwenderrechner 22c bei dem zentra- 
len Netzwerkrechner 10 angemeldet. Die Schritte, die zur 20 
Anmeldung zum zentralen Netzwerkrechner 10 erforderlich 
sind, werden von links nach rechts durch die Pfeile 27a bis 
27e zwischen dem Netzwerkrechner 10 und dem Anwender- 
rechner 22c symbolisiert. 

[0022] Fur das Anmelden - Pfcil 27a - und Arbeiten im 25 
Internet bzw. im Intranet kann ein sogenannter "Browser" 
28 verwendet werden. Der Browser 28 (auch: WEB- 
Browser) ist ein Programm, welches Inter- bzw. Intranetsei- 
ten darstellen kann. Internetseiten werden dazu als HTML- 
Code (Abkiirzung fur "hypertext markup language", 30 
deutsch: "Hypertext-Auszeichnungssprache") auf einem der 
Zentral-Netzwerkrechner 10, 12, 14 abgelegt. Der Browser 
28 lauft auf dem Anwenderrechner 22c und kann diesen 
HTML-Code in Text und Graphik umwandeln. 
[0023] Haufig werden die zentralen Netzwerkrechner 10, 35 
12, 14 auch Verteilerrechner, Server oder Provider genannt. 
Durch Aufruf einer speziellen Seite mittels des Browsers 28 
wird neben dem HTML-Code der Seite auch eine "Java"- 
Applikation (auch: Java- Applet) von dem zentralen Netz- 
werkrechner 10 in den Anwenderrechner 22c geladen. Die 40 
"Java"-Application ist ein Programm in der Programmier- 
sprache Java, mit der der Browser 28 bzw. hieniber der An- 
wenderrechner 22c gesteuert werden kann. 
[0024] Damit nicht bei jedem Aufruf einer Internetseite 
"irgendeine" Java-Applikation geladen wird, konnen die 45 
Java-Applikationen auch digital zertifiziert werden. Je nach 
Einstellung des Browsers 28 und je nach Zertifikat der Java- 
Applikation werden der Applikation entsprechende Rechte 
eingeraumt. Ist eine Java-Applikation, die auf lokale Re- 
sourcen zugreift, nicht zertifiziert, so wird sie vom Browser 50 
28 nicht ausgefiihrt. Dies soil verhindern, daB unzertifizierte 
Java-Applikationen Schaden an dem Anwenderrechner 22c 
ausuben. Die Java-Applikation weist daher neben dem Pro- 
gramm-Code insbesondere auch die Signatur eines Zertifi- 
kates und einen darin enthaltenen Prufcode auf. Der 55 
Browser 28 vergleicht die Signatur mit einer ihm vorlie- 
gende Kopie des Zertifikats und stellt fest, ob die Java-App- 
likation mit dem Zertifikat signiert worden ist. 
[0025] Wenn mit dem Browser 28 zum Anmelden eine 
HTML-Seite mit Java- Application auf dem zentralen Netz- 60 
werkrechner aufgerufen wird, dann sollte der Browser 28 
zunachst fcststellen, daB die Java- Application zertifiziert ist 
- Pfeil 27b. Die Java-Applikation fragt nun die MAC- 
Adresse der Netzwerkkarte - Pfeil 27d und neben dem Be- 
nutzer das Benutzerkennwort - Pfeil 27c - ab. Die MAC- 65 
Adresse 29 der Netzwerkkarte kann das Java-Programm di- 
rekt aus dem ROM der Netzwerkkarte auslesen und an den 
zentralen Netzwerkrechner 10 weiterleiten. Den Benutzer- 



namen und das Benutzerkennwort 31 muB der Benutzer ein- 
geben. Stimmen alle Daten mit den auf dem zentralen Netz- 
werkrechner 10 hinterlegten Daten uberein, so hat der Be- 
nutzer Zugang zum Netzwerk. 

[0026] Das Java-Programm kann im Hintergrund des An- 
wenderrechners 22c ablaufen, so daB der Benutzer von dem 
Einlesen der MAC- Adresse nichts bemerkt. 

Patentanspriichc 

1. Verfahren zum Identifizieren einer Rechnereinheit 
(22c) und eines Benutzers (15) in einem Rechnernetz- 
werk, dadurch gekennzeichnet, daB der individuelle 
Seriencode von mindestens einer Standard-Hardware- 
komponente der Rechnereinheit (22c) mit einem Pro- 
gramm ausgelesen und zur Identifizierung der Rech- 
nereinheit (22c) herangezogen und mit einem Benut- 
zerkennwort kombiniert wird. 

2. Verfahren zum Identifizieren einer Rechnereinheit 
(22c) und eines Benutzers (15) in einem Netzwerk 
nach Anspruch 1, dadurch gekennzeichnet, daB der in- 
dividuelle Seriencode in einem Speicher der Standard- 
Hardwarekomponente abgelegt ist. 

3. Verfahren zum Identifizieren einer Rechnereinheit 
(22c) und eines Benutzers (15) in einem Netzwerk 
nach einem der Anspriiche 1 oder 2, dadurch gekenn- 
zeichnet, daB der individuelle Seriencode einer Netz- 
werkkarte ausgelesen wird. 

4. Verfahren zum Identifizieren einer Rechnereinheit 
(22c) und eines Benutzers (15) in einem Netzwerk 
nach einem der Anspriiche 1 bis 3, dadurch gekenn- 
zeichnet, daB der individuelle Seriencode mehrerer 
Standard-Hardwarekomponenten ausgelesen wird. 

5. Verfahren zum Identifizieren einer Rechnereinheit 
(22c) und eines Benutzers (15) in einem Netzwerk 
nach einem der Anspriiche 1 bis 4, dadurch gekenn- 
zeichnet, daB das Programm zum Auslesen des Serien- 
codes im Hintergrund lauft. 

6. Verfahren zum Identifizieren einer Rechnereinheit 
(22c) und eines Benutzers (15) in einem Netzwerk 
nach einem der Anspriiche 1 bis 5, dadurch gekenn- 
zeichnet, daB das Programm zur Seriencode-Abfrage 
eine Benutzerabfrage durchfuhrt. 

7. Verfahren zum Identifizieren einer Rechnereinheit 
(22c) und eines Benutzers (15) in einem Netzwerk 
nach einem der Anspriiche 1 bis 6, dadurch gekenn- 
zeichnet, daB das Programm zur Seriencode-Abfrage 
Bestandteil des Betriebssystems ist. 
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